Перемещение ЭФИ и /boot раздел

Я не знаком с Veracrypt, но я ожидал бы, что его основная функциональность, связанная с загрузкой, должна быть сохранена где-то в незашифрованном виде. Логическим местом для этого будет ESP, но он может быть где-то еще, например, выделенный раздел или даже некоторая незашифрованная часть раздела NTFS.

простое копирование ESP на другое устройство не будет работать. Проблема в том, что в EFI указатель на загрузчик существует в NVRAM, и если вы переместите загрузчик, то Запись NVRAM будет считаться недействительной, и система останется не загружаемой. Вам нужно будет обновить запись NVRAM, создать совершенно новую запись NVRAM или использовать резервное имя файла (EFI/BOOT/bootx64.efi) для вашего основного загрузчика, чтобы получить систему для загрузки. Вы можете обновить или создать новую запись загрузки с помощью такого инструмента, как efibootmgr в Linux bcdedit в Windows, EasyUEFI в Windows, bcfg в оболочке EFI или встроенные средства управления загрузкой в некоторые EFI реализации.

для получения дополнительной информации по основам EFI, я рекомендую вам начать со следующего:

• запись в блоге Адама Уильямсона о том, как работает EFI -- эта страница описывает теорию загрузки EFI-mode.
• вопрос и ответы о различиях между загрузкой BIOS и EFI на Superuser.com -- Это обеспечивает основы предшествующего, но больше лаконичный.
• моя страница о загрузчиках EFI для Linux -- эта страница описывает выбор загрузчика EFI для систем Linux, включая информацию о том, как создавать загрузочные записи NVRAM.

ни одна из этих страниц непосредственно не затрагивает ваши вопросы шифрования, но все они должны в той или иной степени помочь вам понять, как работает процесс загрузки EFI. Такое понимание поможет вам справиться с расширенной конфигурацией например, то, что вы пытаетесь создать.